- Mythos d'Anthropic exploite seul une faille FreeBSD vieille de 17 ans, 83,1 % de proof-of-concepts au premier essai
- Plus de 99 % des vulnérabilités trouvées par Mythos ne sont pas encore patchées (Fortune, 14 avril 2026)
- Consortium fermé : Nvidia, Amazon, JPMorgan, Apple — aucune entreprise européenne incluse (AFP, 20 avril 2026)
- Anthropic atteint 30 milliards de dollars de revenu annualisé en avril 2026, dépasse OpenAI
- AI Act pleinement applicable aux modèles à risque systémique le 2 août 2026 — dans 104 jours
Une faille de sécurité dort depuis 17 ans dans FreeBSD. Mythos — le nouveau modèle d'IA d'Anthropic — l'a trouvée seul. Et a écrit le code qui l'exploite, du premier coup.
L'Anthropic Red Team a publié les résultats le 7 avril 2026. Dans 83,1 % des cas testés, Mythos Preview reproduit une vulnérabilité connue et écrit un proof-of-concept exploitable au premier essai. Plus de 99 % des failles qu'il a trouvées dans les systèmes existants ne sont pas patchées.
Fortune titre le 14 avril 2026 : « AI is finding flaws far faster than companies can patch them. »
17 ans de faille FreeBSD trouvés en autonomie : que fait Mythos ?
Le test publié sur le site d'Anthropic Red Team est précis.
Mythos Preview a identifié de manière entièrement autonome une faille de type remote code execution dans FreeBSD, vieille de 17 ans. La faille permet de prendre le contrôle root d'une machine via NFS, le système de partage de fichiers.
Le modèle n'a pas reçu d'indication. Pas de prompt orienté. Il a exploré le code, identifié la vulnérabilité, écrit l'exploit.
Le test ne s'arrête pas là. Mythos Preview a trouvé des bugs dans chaque système d'exploitation majeur et chaque navigateur web qu'il a examinés. Certains datent de plusieurs décennies. Anthropic parle de « tens of thousands of vulnerabilities ».
Le Français Guillaume Princen, directeur international des entreprises technologiques d'Anthropic, le confirme à l'AFP : Mythos « commence à dépasser la capacité des humains dans le monde du cyber ». Et ajoute : « Il est capable de déceler des failles informatiques qui existent depuis des dizaines d'années dans des systèmes qui ont été testés par des experts humains et des automates et n'avaient jamais été découvertes avant. »
« Plus rapides que les patches » : 99 % de vulnérabilités non corrigées
Le chiffre suivant change l'échelle du problème.
Plus de 99 % des vulnérabilités identifiées par Mythos Preview ne sont pas encore patchées au moment de la publication de l'évaluation. Source : Anthropic Red Team, repris par Fortune le 14 avril 2026.
L'AI Safety Institute du gouvernement britannique (AISI UK) a mené sa propre évaluation. Verdict similaire : Mythos Preview représente une avancée matérielle dans les capacités cyber offensives.
Le système bancaire américain a fait part de ses inquiétudes. Le gouvernement britannique aussi. L'Union européenne s'est entretenue avec Anthropic pour obtenir davantage d'informations, selon l'AFP du 20 avril 2026.
Le Council on Foreign Relations parle d'« inflection point for AI and global security » dans une analyse publiée en avril 2026.
Project Glasswing : un consortium fermé, sans aucun Européen
Anthropic a refusé la commercialisation grand public. Mythos est partagé via une initiative baptisée Project Glasswing.
Jack Clark, cofondateur d'Anthropic et Head of Public Benefit, l'a expliqué le 13 avril 2026 au Semafor World Economy Summit à Washington : « We're releasing it to a subset of some of the world's most important companies and organizations so they can use this to find vulnerabilities. »
Le cercle restreint compte quatre noms identifiés à ce jour :
- Nvidia — semi-conducteurs et infrastructure IA
- Amazon — cloud et e-commerce
- J.P. Morgan Chase — banque d'investissement américaine
- Apple — équipementier grand public et services
S'y ajoutent « plusieurs organisations chargées d'infrastructures critiques », selon les termes utilisés par Anthropic.
Aucune entreprise européenne ne figure dans le consortium initial, confirme l'AFP.
Princen, à Paris : « Ce n'est sûrement pas un modèle qui va être ouvert au grand public bientôt pour des raisons évidentes mais on est en train de réfléchir aux prochaines vagues d'ouverture. » La formule laisse la porte entrouverte. Sans calendrier.
24 février : Anthropic refuse les armes autonomes au Pentagone
Pour comprendre Mythos, il faut remonter deux mois.
24 février 2026. Le secrétaire à la Défense Pete Hegseth donne au PDG d'Anthropic, Dario Amodei, un délai jusqu'au 27 février pour autoriser un usage sans restriction de Claude par les armées américaines, selon Federal News Network et la chronologie publiée par TechPolicy.Press.
26 février 2026. Anthropic refuse. Dario Amodei a indiqué publiquement qu'il ne laisserait pas Claude être utilisé pour des armes totalement autonomes ni pour la surveillance de masse de citoyens américains.
27 février 2026. Donald Trump ordonne aux agences fédérales de cesser d'utiliser les outils d'Anthropic. Le Pentagone désigne l'entreprise comme « risque pour la chaîne d'approvisionnement ».
Trump répond, le juge fédéral bloque
Mars 2026. Un juge fédéral à San Francisco bloque l'ordre du Pentagone. Selon le Washington Post, NPR et CNN, l'injonction repose sur deux fondements : violation probable de la loi et représailles pour la prise de position publique d'Anthropic.
Krishna Rao, directrice financière d'Anthropic, met en garde dans des documents juridiques consultés par l'AFP : la mise au ban fédérale pourrait coûter à l'entreprise plusieurs milliards de dollars de revenus en 2026.
L'effet inverse se produit. Princen, à l'AFP : « On a vu un mouvement intéressant, il y a beaucoup de gens qui se sont mis à utiliser Claude de par cette position qu'on a prise sur le sujet. »
16 avril 2026. Le chef de cabinet de la Maison-Blanche rencontre Anthropic. L'objet : un accès américain à Mythos, malgré la blacklist Pentagone, selon Axios. Les deux séquences se croisent.
30 milliards de dollars en avril : Anthropic dépasse OpenAI
La trajectoire financière d'Anthropic est devenue sans équivalent.
| Date | Revenu annualisé (ARR) |
|---|---|
| Fin 2025 | 9 milliards $ |
| Février 2026 | 14 milliards $ |
| Mars 2026 | 19 milliards $ |
| Avril 2026 | 30 milliards $ |
Sources : SaaStr (avril 2026), PYMNTS (avril 2026), Sacra. Anthropic dépasse OpenAI en revenu annualisé pour la première fois.
Claude Code, l'outil pour développeurs lancé en février 2025, génère à lui seul 2,5 milliards $ annualisés depuis février 2026. Princen précise à l'AFP que la croissance vient en partie « des entreprises européennes qui ont pris cette vague ».
Anthropic réalise 80 % de son chiffre d'affaires auprès des entreprises. Parmi les clients européens : la start-up suédoise Lovable (spécialisée dans le code) et l'assureur allemand Allianz.
L'effectif reste d'environ 5 000 employés, selon SaaStr. Anthropic projette un free cash flow positif dès 2027 — quand OpenAI vise 2030.
IPO octobre 2026 : objectif 60 milliards à valorisation 400-500 Md$
L'introduction en Bourse se profile. Selon The Information, repris par TradingKey, Anthropic vise une IPO à 60 milliards de dollars de levée, ciblée pour octobre 2026.
La valorisation discutée évolue vite :
- Février 2026 : Series G à 380 milliards $ de valorisation
- Avril 2026 : offres récentes de fonds à 800 milliards $ (TheNextWeb, Euronews)
- Fourchette anticipée par les banquiers : 400 à 500 milliards $
Certains analystes jugent la cible d'octobre 2026 trop ambitieuse, le délai standard entre engagement bancaire et introduction étant de 6 à 9 mois.
Anthropic a été fondée en 2021 par d'anciens d'OpenAI, dont Dario et Daniela Amodei.
Guillaume Princen : la voix française d'Anthropic
L'entretien donné par Princen à l'AFP, publié le 20 avril 2026, est la première prise de parole structurée d'Anthropic en langue française sur Mythos.
Sa formule sur la transparence : « On préfère être transparent et mettre ces risques sur la table. » Et : « les préoccupations de sécurité sont au cœur de l'ADN d'Anthropic. »
Princen ajoute : « Nous n'avons pas toutes les solutions mais cela doit être une conversation entre les acteurs technologiques comme nous, qui ont un certain nombre de données, le monde académique, le monde politique et le monde des économistes. »
Anthropic dispose en Europe d'un réseau en expansion : bureaux à Paris et Munich ouverts en 2025, expansion annoncée à Dublin et Londres. Princen indique que l'Europe est « la région qui se développe le plus fortement pour Anthropic ».
Le paradoxe est entier : la croissance européenne d'Anthropic dépasse les autres marchés, mais aucune entreprise européenne n'est associée au projet de cybersécurité jugé le plus critique par l'entreprise elle-même.
AI Act 2 août 2026 : 104 jours pour préparer la France
Le calendrier européen avance.
Le 2 août 2026 marque l'application complète du règlement européen sur l'intelligence artificielle (AI Act) aux systèmes à haut risque. Soit 104 jours après le 20 avril 2026.
Les modèles d'IA à usage général (GPAI) à risque systémique — catégorie dans laquelle Mythos s'inscrit par ses capacités cyber offensives — devront, selon la Commission européenne et la Direction générale des entreprises (entreprises.gouv.fr) :
- Conduire des évaluations de modèles standardisées
- Réaliser des tests adversaires (red teaming)
- Suivre et signaler les incidents graves
- Garantir un niveau adéquat de cybersécurité
- Documenter les capacités et limites du modèle
Mythos présente les caractéristiques retenues par le texte pour la catégorie « modèle à risque systémique ». La qualification officielle dépendra des évaluations conduites par les autorités compétentes. Anthropic n'a pas, à la date du 20 avril 2026, communiqué publiquement de plan de conformité spécifique au règlement européen.
Le sujet n'est pas que théorique. L'AI Act impose aussi des obligations aux entreprises françaises qui déploient ces modèles.
Cybersécurité PME : la première ligne reste exposée
Mythos vise les infrastructures critiques. Mais sa logique se diffuse.
Si une IA peut trouver une faille de 17 ans dans un système open source largement déployé, les outils dérivés — moins puissants mais plus accessibles — finiront par toucher les PME. Les PME françaises restent les premières ciblées et les dernières protégées, selon notre analyse publiée en mars 2026.
L'ANSSI rappelle régulièrement les fondamentaux : mise à jour systématique des systèmes, sauvegardes hors-ligne, authentification forte, segmentation réseau. Aucun de ces conseils ne change avec Mythos. Mais l'urgence, oui.
Pour Anthropic, c'est exactement le pari. Princen : « On préfère être transparent et mettre ces risques sur la table. » Mettre sur la table ne corrige pas les failles. Cela les rend visibles. La suite dépend de qui répare en premier.
Trois compteurs croisés : 2 août, octobre, Mythos en déploiement
Trois compteurs courent en parallèle :
- 2 août 2026 : application complète AI Act aux systèmes à haut risque
- Octobre 2026 (cible non confirmée) : IPO Anthropic à valorisation 400-500 Md$
- Continu : déploiement progressif de Mythos dans le consortium fermé, sans Européens
L'agenda d'Anthropic et l'agenda européen se croisent pour la première fois sur un sujet de cybersécurité offensive. Les capacités sont là. La régulation arrive. Le consortium reste fermé.
Le pivot des prochaines semaines se jouera entre la Commission européenne, l'ANSSI, les CISO français — et la décision d'Anthropic d'ouvrir, ou non, Mythos à des acteurs européens avant le 2 août.
À faire pour s'y préparer
- Texte officiel de l'AI Act (artificialintelligenceact.eu)
- Décryptage AI Act — Direction générale des entreprises
- Anthropic Red Team — Évaluation Mythos Preview
- AISI UK — Évaluation indépendante des capacités cyber de Mythos
- Guides ANSSI — Cybersécurité (cyber.gouv.fr)
À lire aussi
- AI Act : la France face au casse-tête de la régulation de l'IA
- Cybersécurité : les PME françaises, premières cibles, dernières protégées
- IA et emploi : cinq millions de Français exposés — pas ceux qu'on croit
- La Silicon Valley veut arrêter d'embaucher des humains
- Guerre Iran : Touska saisi, Trump menace les centrales, Téhéran refuse
Recevez chaque semaine l'essentiel de l'actualité décrypté par nos journalistes.
Gratuit, sans publicité. S'abonner à la newsletter
